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Kleine Anfrage 

der Abgeordneten Dr. Konstantin von Notz, Wolfgang Wieland, Memet Kilic, Josef 
Philip Winkler, Volker Beck (Köln) und der Fraktion BÜNDNIS 90/DIE GRÜNEN 


Datensicherheit und Datenschutz bei Zoll und Bundespolizei 


Anfang Juli dieses Jahres wurde bekannt, dass ein Hacker- Angriff auf Server des 
Zolls erfolgte. Eine Gruppe mit Namen „No-Name-Crew“ war dabei offenbar in 
den Besitz von Daten des Zolls gelangt und hatte diese anschließend im Internet 
veröffentlicht. Zu den veröffentlichten Daten sollen Klarnamen von Fahndern 
und observierten Tatverdächtigen, Kraftfahrzeugkennzeichen ausgespähter Fahr- 
zeuge und die Passwörter von Peilsendern der Ermittler zählen. Auch Daten des 
Zielverfolgungssystems Patras sollen von den Veröffentlichungen betroffen ge- 
wesen sein. Zwischenzeitlich liegen dazu weitere, teilweise widersprüchliche 
Medienberichte vor. „FOCUS Online“ zitiert am 16. Juli 2011 aus internen Un- 
tersuchungsberichten des Bundesamtes für Sicherheit in der Informations- 
technik (BSI) sowie des Zolls, wonach Angriffe der Hackergruppe auf Server 
der Bundespolizei bereits vor ca. einem Jahr erfolgt seien. Das BSI geht davon 
aus, dass alle für den Betrieb von Patras bei den unterschiedlichsten Dienststel- 
len unterhaltenen Server kompromittiert seien. Es seien „Trojaner“ auf die nur 
unzureichend abgesicherten Rechner der Bundespolizei eingeschleust worden, 
welche das Patras-System als verantwortlicher Dienstleisterin für andere Behör- 
den betreibt. Ferner sei die von der Bundespolizei den Partnerbehörden zur Ver- 
fügung gestellte Software zur Absicherung der Server für die Erfüllung dieses 
Zweckes ungeeignet. Auch die Handlungsanweisungen für den Betrieb der 
Patras-Datenbank sollen in keinster Weise gängigen Sicherheitsstandards ent- 
sprochen haben. Das Ausmaß der erlangten Daten und Informationen aus dem 
Zuständigkeitsbereich sowohl von Bundespolizei, Bundeskriminalamt und Zoll 
ist somit bis heute weitgehend ungeklärt. Zwischenzeitlich wurde gemeldet, es 
seien zwei von drei bereits identifizierten Tatverdächtigen festgenommen wor- 
den, einer sei geständig (sueddeutsche.de vom 18. Juli 2011). Laut Meldungen 
vom 9. August 2011 (unter anderen SPIEGEL ONLINE) soll bereits vor zwei 
Jahren der private Rechner eines Zollbeamten mit einem Trojaner infiziert wor- 
den sein. Dieser habe eine dauerhafte Mailumleitung von seiner dienstlichen 
Adresse auf seine private Mailadresse vorgenommen, so dass sämtliche dienst- 
lich erhaltenen Informationen dem Zugriff durch Unbefugte offenstanden. 

Wir fragen die Bundesregierung: 

1 . Wie viele sicherheitsrelevante Zwischenfälle bei Bundespolizei-, Zoll- und 
Sicherheitsbehörden kann die Bundesregierung für die zurückliegenden drei 
Jahre bis heute bestätigen, bei denen nicht ausgeschlossen werden kann, dass 
personenbezogene und/oder sicherheitsrelevante Daten und Informationen 
aus dem Bereich dieser Stellen für den Zugriff unbefugter Dritter offen- 
standen? 
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2. Welche Stellen des Bundes und/oder der Länder waren bzw. sind von den 
oben genannten, jüngsten Angriffen konkret betroffen? 

3. Seit wann ist der Bundesregierung bzw. den zuständigen Stellen bekannt, 
dass ein entsprechender Einbruch in das System stattgefunden hat bzw. die 
Möglichkeit dazu bestand? 

4. Hinsichtlich welcher konkreten Daten und Informationen aus dem Bereich 
dieser Behörden kann bestätigt bzw. nicht ausgeschlossen werden, dass diese, 
weim auch nur vorübergehend, dem Zugriff der Angreifer offenstanden? 

5. Hinsichtlich welcher konkreten Daten und Informationen kann bestätigt 
werden, dass diese, wenn auch gegebenenfalls nur vorübergehend, im Inter- 
net zum Abruf zur Verfügung standen? 

6. Auf welche Weise hat sich nach Auffassung der Bundesregierang der An- 
griff auf Server des Zolls und der Bundespolizei zugetragen? 

7. Welche Behörde bzw. welches Bundesministerium zeichnet für die Aus- 
ermittlung der jüngst gemeldeten Angriffe auf Server des Zolls sowie der 
Bundespolizei verantwortlich? 

8. Zu welchem Zeitpunkt und mit welcher konkreten Aufgabenstellung bzw. 
mit welchem konkreten Ziel wurde das neu geschaffene Cyber- Abwehrzen- 
tram eingeschaltet? 

Welche konkreten Ergebnisse hat die Einbeziehung des Cyber- Abwehrzen- 
trams bei der Aufklärung der Vorfälle ergeben? 

9. Zu welchem Zeitpunkt fanden erstmalig Angriffe auf Server bundesdeut- 
scher Behörden statt, die der Gruppe „No-Name-Crew“ zugerechnet wer- 
den? 

10. Zu welchem Zeitpunkt fand der Angriff statt, der den oben bezeichneten 
Zugriff auf das sogenannte Patras-System ermöglichte? 

1 1 . Kaim die Bundesregierung ausschließen, dass bei den eingangs beschrie- 
benen Vorgängen auch Daten und Informationen, die nachvollziehbare per- 
sonenbeziehbare Hinweise auf verdeckt durchgeführte Ermittlungsvor- 
gänge gegen Tatverdächtige im Rahmen des Einsatzes von Patras enthalten, 
für Unbefugte zugänglich geworden sind? 

Wenn nein, mussten bereits entsprechende Konsequenzen beobachtet wer- 
den oder selbst gezogen werden, wie z. B. die Aufhebung der Tarnung von 
Ermittlern oder der Abbruch von Ermittlungen, zum Schutz von verdeckt 
tätigen Mitarbeitern? 

12. Ist es zutreffend, dass das gesamte Peil- und Ortungssystem Patras aufgrund 
des Angriffs und des unklaren Ausmaßes der Betroffenheit der IT-Systeme 
vorübergehend abgeschaltet werden musste? 

Wenn ja, für welchen Zeitraum und mit welchen konkreten Konsequenzen 
für die ermittelnden Behörden bzw. die einzelnen zu diesem Zeitpunkt über 
das System laufenden Vorgänge bzw. Ermittlungen? 

13. Auf welche Weise und durch welche Stellen wurde nach Bekanntwerden 
versucht, den Tathergang aufzuklären, und ist dies nach Ansicht der Bun- 
desregierung inzwischen in einem zufriedenstellenden Ausmaß gelungen? 

14. Welchen Anteil an der Aufklärung hat das Geständnis des 2 3 -jährigen, 
vorübergehend festgenommenen mutmaßlichen Täters? 

1 5 . Waren nach Einschätzung der Bundesregierung für die Tatausführang über- 
durchschnittliche Fähigkeiten und/oder Erfahrungen erforderlich, oder ge- 
nügten angesichts der von den Tätern angetroffenen Sicherheitsvorkehran- 
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gen im Wesentlichen durchschnittliche Kenntnisse, wie sie beispielsweise 
in einschlägigen Foren etc. vermittelt werden? 

16. Wird der Bericht des Bundesamtes für Sicherheit in der Informationstech- 
nik über den Fiergang in dem dafür erforderlichen Umfang zur Information 
der Öffentlichkeit zur Verfügung gestellt? 

Wenn nein, weshalb nicht? 

17. Teilt die Bundesregierung die Auffassung, dass auch öffentliche Stellen, 
wie es etwa der Bundesbeauftragte für den Datenschutz und die Informa- 
tionsfreiheit, Peter Schaar, kürzlich forderte und es jüngst in Schleswig- 
Flolstein gesetzlich geregelt wurde, einer Informationspflicht bei Sicher- 
heitsvorfällen zumindest gegenüber den Datenschutzbehörden unterliegen 
sollten? 

Wenn nein, was spricht aus Sicht der Bundesregierang gegen eine auf diese 
Weise mögliche unabhängige Drittkontrolle der vorgenommenen Sicher- 
heitsvorkehrangen verantwortlicher Stellen? 

18. Auf welche Weise ist das Zielinformationssystem Patras informationstech- 
nisch in die IT-Infrastruktur integriert? 

Welche Behörden haben auf welcher Rechtsgrundlage Zugriffs- bzw. Nut- 
zungsrechte? 

19. Wer ist die datenschutzrechtlich verantwortliche Stelle für den Betrieb des 
Patras-Systems, und in welchem Umfang werden welche Arten von per- 
sonenbezogenen Daten in Patras bzw. der dafür geschaffenen Infrastruktur 
gespeichert? 

Ist es zutreffend, dass die Bundespolizei datenschutzrechtlich im Sinne 
eines Auftragnehmers einer Auftragsdatenverarbeitung tätig wird? 

20. Welche Verantwortlichkeiten für IT-Sicherheit und Datenschutz beim Ein- 
satz des Patras-Systems treffen nach Auffassung der Bundesregierung die 
ebenfalls mitnutzenden Landeskriminalämter (LKA), das Bundeskriminal- 
amt sowie den Zoll bzw. das Zollkriminalamt? 

Sind nach Auffassung der Bundesregierung insoweit alle das System einset- 
zenden Stellen den Vorgaben entsprechend ordnungsgemäß vorgegangen? 

21. Ist es zutreffend, dass in der Bundespolizeikaseme Swisstal-FIeimerzheim 
ein zentraler Server für den Betrieb von Patras steht, welcher über das 
Internet mit den weiteren, das System einsetzenden Behörden (LKA, BKA, 
Zoll) verbunden ist? 

Wurde nach Kenntnis der Bundesregierung auch dieser Server durch Troja- 
ner befallen, und wenn ja, zu welchem Zeitpunkt? 

22. Welche Sicherheitsvorkehrangen sieht die Bundespolizei generell für den 
Schutz ihrer Netzwerke vor Angriffen aus dem Internet vor? 

23. Welche Systeme werden über das Internet mit anderen Behörden verbun- 
den, und welche Sicherheitsvorgaben bestehen für die Anbindung über das 
Internet? 

24. Bestehen bei Bundespolizei, Zoll und Bundeskriminalamt Sicherheitsvor- 
gaben für die Inbetriebnahme eines Programmes wie Patras? 

Wenn ja, welche? 

25. Wurden für Patras Vorabkontrollen und/oder Erlaubnisverfahren durch das 
BSI und den Bundesbeauftragten für den Datenschutz und die Informa- 
tionsfreiheit durchgeführt? 

Wenn nein, weshalb nicht? 
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26. Hat es in der Vergangenheit bereits unabhängige Prüfungen des Wirkbetrie- 
bes von Patras seitens des BSl und/oder des Bundesbeauftragten für den 
Datenschutz und die Informationsfreiheit gegeben? 

Ist jetzt eine entsprechende Prüfung vorgesehen? 

27. Wie koimten aus Sicht der Bundesregierung die entsprechenden Schad- 
programme die Schutzvorkehrungen bei der Bundespolizei bzw. den ange- 
schlossenen Behörden überwinden? 

28. Hat die Bundespolizei verantwortlich Sicherheitssoftware für den Betrieb 
von Patras an die beteiligten Behörden ausgeliefert, und wenn ja, welche? 

Handelte es sich dabei um das in diesem Zusammenhang von mehreren 
Quellen unter anderem auch im Internet unabhängig voneinander erwähnte 
Programm XAMP? 

29. Wie bewertet die Bundesregierung die Tatsache, dass die Bundespolizei 
dieses Programm zum Einsatz brachte bzw. den beteiligten Behörden zur 
Absicherung empfahl, dass selbst von Zollbeamten und der Bundesnetz- 
agentur für diesen Zweck für ungeeignet gehalten wird? 

30. Lagen konkrete Handlungsanweisungen für den Einsatz von Patras durch 
Behörden seitens der Bundespolizei vor? 

Wenn ja, wurde dort die datenbankmäßige Speicherung von Passwörtern im 
Klartext nahegelegt? 

Sollte dies der Fall gewesen sein, wie bewertet die Bundesregierang eine 
derartige Vorgabe? 

31. Seit wann ist der Bundesregierung bzw. den zuständigen Stellen bekannt, 
dass aufgrund einer Mailumleitung auf den Privatrechner eines Zollmitar- 
beiters dienstliche Informationen für unbefugte Dritte zugänglich waren? 

32. Für welchen Gesamtzeitraum kann nicht ausgeschlossen werden, dass 
Daten und Informationen dieser Stellen für den Zugriff unbefugter Dritter 
offenstanden? 

33. Ist es zutreffend, dass aufgrund des genaimten Falles eines Zollmitarbeiters, 
welcher eine Mailumleitung von seinem dienstlichen auf seinen privaten 
Rechner vorgenommen hatte, nunmehr einzelne Landeskriminalämter per 
Dienstanweisung entsprechende Mailumleitungen untersagt haben? 

Wenn ja, um welches LKA handelt es sich? 

34. Sind entsprechende Mailumleitungen auch bei anderen polizeilichen Bun- 
desbehörden technisch möglich? 

Welche Regelungen bestehen zu Mailumleitungen auf Bundesebene bei den 
betroffenen Behörden Bundeskriminalamt, Zoll und Bundespolizei? 

35. Liegt nach Auffassung der Bundesregierung in den vorliegend geschilder- 
ten Sachverhalten vorwerfbares Fehlverhalten vor? 

Wer trägt, soweit die geschilderten Sicherheitslücken zutreffen sollten, die 
Verantwortung dafür, und welche Konsequenzen zieht die Bundesregierung 
aus diesen Vorgängen? 


Berlin, den 24. August 2011 

Renate Künast, Jürgen Trittin und Fraktion 
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